美文网首页
网络诈骗案例总结(结合社会工程学讲解原理)

网络诈骗案例总结(结合社会工程学讲解原理)

作者: 浅影科技 | 来源:发表于2018-02-08 18:31 被阅读0次

    前言:

    到现在我依稀还记得,当初山东一个学生被骗完学费后自杀的故事,当然,这不是个例,
    也不能说人各有命,我们只能最大程度的去避免这种类似的事发生。
    我看到网上的诈骗案例不少,但缺的是一个通过案例并结合人的本能(社会工程学)的一个分析。
    没有分析,就不会清楚自己到底在哪里栽的,将来骗子换个方式,还是会成功。

    --以下内容是针对 《i春秋-社会工程学》 和《网警-公众号》 的内容做的分析

    场景分析:

    1.未来骗子会更多,因为未来“更多的人”越来越难赚到钱
    技术发展--》技术人员要求更高--》找不到工作的人+++---》没有钱(这时候骗人)[钱+++]
    他们利用广撒网钓鱼,或者针对敏感人员(机关单位)勒索,再加上黑产(需求大)。。。。。。。

    2.可能很多人对第一点不赞同,我自己也不敢苟同,但很多情况下,有为了生存,别无选择
    曾有这么一个事,有一个被抓的骗子,经调查后,才知道他有妻儿老小,一天妻子病倒,没钱做看病,打算向医院求助,先把病看了,钱的事先欠着,一定还。可后来,妻子一再被搁置,等一家没办法的时候只能回家,妻子自己知道自己的事,又怕家里担不起,就先走啦,后来男子,接受不了,孩子也确实还小,需要好的照顾,他选择了去骗钱偷钱。最终被抓。

    社会工程学简述:

    一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法

    核心:

    人是这个系统中最薄弱的一环(前提是这个系统存在交互)

    人的六大本能:

    【听从权威】 【行为可预见】 【建立朋友关系】 【从众】 【人情心】 【稀缺性】

    骗子是如何设计你的:

    先来看看骗子是如何设计你的,这里有一个前提是目标对象的个人信息收集

    人物信息:

    1.喜欢猫咪 (实习生) --》 由于刚开始工作,而且朋友圈没猫的合照--》没有猫
    2.她最好的朋友从事医生and自己分享一些养生的头条 --》 不是护士就是医生
    3.曾经群发过一些免费体验的消息 --》 小气,薪水不高
    4.朋友圈发布图片 --》 记下位置

    制作攻击场景

    钓鱼攻击手法科普:

    就是把一个网站克隆下,自己修改后台搭建一下,然后在网址那里做到很像原来的(大部分人是不会看网址对不对),然后你在这个假网站登陆后,账号密码就落到了骇客手里,还有的骇客会把通过加载恶意插件的方式,直接黑了你电脑

    结合人物信息分析

    1,3 --》 发布免费领养猫的信息,留一个恶意链接结合钓鱼
    2,3,4 --》通过她的位置,职业,薪水不高 --》发一个关于提升自己医学水平的讲座,是前100名免费(稀缺性) + 钓鱼链接


    结合社工分析:

    【听从权威】

    概念:

    人们对于比自己职位大的,权威机关,辈份大的往往会更容易选择听从

    案例.

    冒充老总或领导发邮件给你要求公司员工通讯录
    
    案例

    下面这个图中,冒充领导,中领馆,公检法,维护公司上门服务。。。。。。
    由于故事很多,我们只需要知道手法就可以啦,可以看到,骗子很会利用这一点,
    可能很多人觉得自己不会上当,但是,如果高明一点的骗子,会给你施加压力的
    比如:冒充你老板,给你发一个消息+木马链接,信息内容:
    你今天怎么回事,这个事怎么干的,你看看http://sdfnjsd.comd/inde.html(假如这个是钓鱼链接,我自己瞎打的)
    由于他是你领导,你害怕老板生气,你一定会打开这个链接,如果老板发给你一个可执行附近(病毒)
    同理,你也一定会打开。

    全部
    恶意链接

    如何避免:

    1.一定要核对信息,给你联系的到底是谁
    2.自己账号密码,和手机验证码,不给任何人。谁也没权利,要知道真正客户修改信息,不需要这些 
    3.一定要把公司和自己朋友亲人的电话存好,并及时更新
    4.遇到冒充领导的人,一定要及时在公司群里及时反应(急),因为,可能是你公司的通讯录泄露,你不上当,一定由同事上当
    5.给你电话说自己出事,想引导你私下解决的权威机构,一定是假的
    

    【行为可预见】

    概念:

    一个人,给他一个特定刺激,他接下来的反应,会有预见性
    这里用一个小把戏的例子最能说明这个问题:

    当你给别人演示一个小把戏,他也会立马展示给你
    例子1:



    例子2.
    “安装了这个app,在全石家庄就可以使用免费的wifi“
    你说 你会不会安装上这个app? 我可以告诉你,这就是一个木马病毒,你只要安装上,就立马会被黑

    例子3.
    当你在”厕所“捡到一个u盘,或者捡到一个光盘,上面写着 人员工资分配,你会怎么办?
    之所以强调 --厕所 是因为给目标营造一个因为丢死者粗心而丢失的概念

    目标--》遇到此刺激 --》做出反应
    想让目标做一个特定反应 --》 制作场景刺激 --》目标上当

    如何避免:

    1.凡是链接,带有引诱性的,都不要点击
    2.对于u盘,光盘,这种接入自己电脑设备的设备,第一时间给部门领导(同理,可能由同事已经上当)
    3.不安装非官方(官方是一些比较出名的应用商店)app
    4.对于小把戏,不要轻易去做,即使别人都做啦
    5.具备基本的常识,比如,能开发一键盗取别人qq号的工具,你觉得腾讯厉害还是这个黑客厉害
    

    【建立朋友关系】

    概念:

    每个人,都不会主动去得罪人,都会想交朋友的心态去对每个人
    当这个人,和你 同一级别 | 能力差不多 | 爱好相同 你更容易信任他,这时候你会卸掉防备

    这个没什么可说,这个主要是用来让目标放下防备
    用来更方便获取目标一些个人信息,喜好,家庭,职业
    以方便下一步攻击做好准备
    这个才是最难防的,防不胜防,总不能去生活中老去怀疑吧
    不过,这个能让我们知道到是谁想要了解你
    至于目的性,这个需要你自己去考虑

    如何避免:

    1.与陌生人交谈不说自己隐私
    2.当别人想你问别人隐私时,想好这个人的目的性,不给别人制造麻烦
    

    【从众】

    概念:

    和别人一样,别人全都做过,自己也要做的一种心理活动
    如果你不这样,你容易受到别人的排斥

    例子1:

    这个补丁别人都装了,为什么你没装?不装的话容易被别人黑呐
    结果你装了,人家得手啦

    例子2:

    这个你还没激活?我们都激活啦,我这有激活工具,你拿去吧
    可能这个激活工具有用,但是一定是激活工具捆绑病毒啦

    例子3:

    街头赌博,为什么骗子找托
    因为,别人都这么做,而且都赚发啦,你为什么不呐?

    例子4:

    传销案例太多
    其中一部分,是因为看到很多人在这方面赚了,才开始去涉及的

    如何避免

    1.有自己的判断,不贪便宜
    2.对于安装不知名工具和app,一定要谨慎
    3.多问问,多怀疑
    

    【人情心】

    概念

    当别人帮了你,你也一定帮别人
    当你去帮一个人的时候,心理会理所当然的认为
    现在我帮了他,将来他一定会帮我
    所以,你才会去做一些事去帮助他

    例子1:

    当我想进入你们公司,我可以双手拿上满满的东西
    当你看到我腾不出手拿开门,你一定会用你的门禁卡,帮我开门进入

    例子2:

    给你一个免费的机票,告诉你是你公司给你定的,明天要出发
    这么突然,你明天肯定准备不好,然后这时候,告诉你,我可以帮你修改到下个月
    然后只需要确认下是你本人就好
    问你身份证账号和密码,说不定你都会被套出

    如何避免

    1.可以帮助你想帮助的人,但是绝对不要违背法律,公司规定
    2.公司做好相关规定,并制定赏罚措施
    

    【稀缺性】

    概念

    就是这个信息,交易品存在过期不侯
    过了这个村,就没这个店的简单意思

    例子1:

    你中了iphone,五折购买权力,只有半个小时,而且只能在这个网店购买(免费没人信)
    --》那个网店是个钓鱼网站,你只要全程进行一遍交易,账号密码,支付密码全被盗取

    例子2:

    我们丢失了你的账号信息,你的账号可能会被删除,如果不提供信息,明天会被系统收回
    --》为了专业性,包括你的历史密码,也会被套出

    如何避免:

    1.不贪便宜,没有免费的午餐
    2.不要相信网页的真实性,网站界面修改很简单
    3.在陌生网站上,不输入账号密码
    4.设定密码复杂度难一些
    5.定期修改重要账号密码
    

    总结:

    1.一切问题都出在,信息泄露上面,骗子联系到你,就是知道你的一些信息(以后朋友圈不要发敏感信息)
    当然,很多信息泄露来源于一些公司内部,还有黑客入侵上面,还有数据商互相买卖,这些都是我们控制不了的,但我们自己要做到,不泄露自己和他人敏感信息

    2.公司单位应该定期培训安全,完善赏罚制度。
    公司职员接到诈骗电话,但是她没和领导说,导致,信息不通,别的职员因缺乏相关安全知识遭受攻击

    3.学校敏感单位,网站安全性必须要加强,做好等级保护
    学校学生信息是一大信息源,而且很敏感,好比每年交学费时期,诈骗居多

    4.上面的例子,都是浓缩过的,也写的不够全,但是基本点都差不多
    希望能帮到大家,再次,希望大家受到诈骗电话啦,积极向网警和有关部门反应
    即便是很少的金额,(他们肯定骗了很多人啦,他也是这种心理)

    相关文章

      网友评论

          本文标题:网络诈骗案例总结(结合社会工程学讲解原理)

          本文链接:https://www.haomeiwen.com/subject/upsazxtx.html